Перейти к содержанию

Как правильно настроить приватность в беговых приложениях | Блог Касперского


Рекомендуемые сообщения

Приложения для фитнеса в силу своей природы имеют доступ к большому количеству персональных данных, особенно те, которые отслеживают разнообразные активности на свежем воздухе, в первую очередь — бег. Во время трекинга они собирают массу данных: пульс и другие параметры физической активности, количество шагов, пройденную дистанцию, перепад высот и, разумеется, геолокацию, — для максимально подробного анализа тренировки.

А люди редко занимаются бегом в каких-то случайных местах. Обычно их маршруты повторяются и расположены где-нибудь рядом с домом, работой, учебой, военной базой… То есть местом, где человек бывает часто и, скорее всего, в одно и то же время. Что будет, если эта информация попадет не в те руки?

Последствия могут быть катастрофическими. Так, несколько лет назад опубликованная одним из беговых приложений карта выдала местоположение целого ряда секретных военных объектов. А летом 2023 года, предположительно, благодаря данным из того же приложения, наемным убийцей во время пробежки был застрелен командир российской подводной лодки Станислав Ржицкий.

Разумеется, утечка геоданных может быть опасна не только для военных. Несложно представить сценарии, в которых она может привести к неприятностям не только для очевидных целей таргетированной атаки (например, знаменитостей, политических деятелей или топ-менеджеров какой-либо компании), но и для обычных людей.

Зная о ваших перемещениях, злоумышленники с удовольствием используют их для шантажа и устрашения. Пресловутое «я знаю, где ты живешь и все твои передвижения» значительно повышает вероятность того, что жертва испугается и выполнит требования мошенников.

Помимо прямых угроз, геотрекинг прекрасно дополняет данные, утекшие из других приложений или собранные при помощи доксинга, что заметно повышает успех таргетированной атаки. И не стоит думать, что уж вы-то точно не заинтересуете мошенников настолько, чтобы устраивать сложную атаку. Жертвой может стать каждый, и далеко не всегда конечной целью злоумышленников является финансовая выгода.

Но не только геоданные собираются и анализируются приложениями для бега. Как и все фитнес-аппы, они следят за активностью и физическим состоянием, которые могут многое рассказать о здоровье человека. И эта информация также может оказаться полезной для атаки с применением социального инжиниринга. Ведь чем больше злоумышленник знает о жертве, тем изощреннее и эффективнее его действия.

Так что к выбору приложения для трекинга бега и настройке его конфиденциальности стоит подойти максимально осознанно — и в этом вам помогут наши советы.

Общие советы по выбору бегового приложения и настройке приватности в нем

Первое, что делать категорически не стоит, — устанавливать подряд все трекеры бега и затем выбирать наиболее понравившийся. Таким образом вы передадите свои персональные данные всем подряд, что значительно увеличит риск их попадания в руки злоумышленников. Чем меньшим количеством приложений вы пользуетесь, тем меньше риск утечки. Но стоит помнить, что ни одна компания не может гарантировать стопроцентную сохранность данных.

Кто-то вкладывается в безопасность своих пользователей больше, кто-то меньше, и предпочтение лучше отдавать тем, кто серьезно подходит к сохранности и анонимизации пользовательских данных. Для этого стоит внимательно изучить политику конфиденциальности (Privacy Policy) выбранного приложения. Добросовестные разработчики укажут, какие данные собирает приложение, с какой целью, какие из них могут быть переданы третьей стороне, какие права у пользователя в отношении персональных данных и так далее. Дополнительно полезно будет поискать в Сети или поинтересоваться у ИИ-ассистента, были ли случаи утечек данных у интересующего вас приложения. Для этого достаточно в поисковом запросе указать название приложения плюс data breaches или data leak. Ну и, разумеется, отзывы пользователей тоже никто не отменял.

 

View the full article

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • Din
      Автор Din
      Есть приватный ключ, подскажите как и чем расшифровать?
       
      Сообщение от модератора Mark D. Pearlstone Перемещено из темы.
    • KL FC Bot
      Автор KL FC Bot
      За последние недели от всех разработчиков ведущих браузеров, кроме Apple, поступили неприятные новости, касающиеся рекламы и приватности пользователей: Google разрешает рекламную слежку с помощью цифровых отпечатков, в Edge и Chrome перестают работать мощные блокировщики рекламы, а Mozilla обновляет лицензионное соглашение и, кажется, стала куда больше интересоваться данными пользователей. Что означает каждое из новшеств и как теперь достичь высокого уровня конфиденциальности?
      Google разрешает следящие отпечатки
      Под давлением регуляторов и пользователей интернет-гигант провел несколько лет, пытаясь разработать механизмы, позволяющие отслеживать эффективность рекламы и предлагать уместные для конкретного зрителя рекламные объявления без опоры на старые и нелюбимые пользователями механизмы слежки — сторонние куки и цифровые отпечатки (browser fingerprinting). На замену Google предложил FLoC, Ad Topics и Privacy Sandbox, но, вероятно, их эффективность оказалась недостаточной. Поэтому теперь Google отказывается удалять из браузера поддержку сторонних куки. А рекламная сеть Google (крупнейшая в мире) с февраля 2025 разрешает собирать при показе рекламы данные цифрового отпечатка, в том числе IP-адрес пользователя. Это означает, что браузер пользователя можно будет опознавать вне зависимости от режима куки, инкогнито и так далее — идентификация по цифровому отпечатку довольно точна, а отключить ее или сменить отпечаток сложно.
       
      View the full article
    • KL FC Bot
      Автор KL FC Bot
      С февраля многие пользователи жалуются на то, что на их Android-смартфонах внезапно появилось приложение Android System SafetyCore. У него нет интерфейса и настроек, но из Google Play можно узнать, что разработчиком является сама Google, число установок превышает миллиард, а рейтинг составляет позорные 2,2 балла. Назначение приложения описано расплывчато: «Обеспечивает технологию для работы функций, таких как «Предупреждения о деликатном контенте» в Google Messages». Что такое «деликатный контент» (sensitive content), можно легко догадаться, но как и почему о нем будет предупреждать Google? И как собирается узнавать, что контент именно деликатный?
      Спешим успокоить — по заявлениям как Google, так и сторонних экспертов, функция не создает угроз приватности. SafetyCore работает на устройстве и не отправляет ни фотографий, ни информации о фотографиях на внешние серверы. Если в Google Messages пользователь получает сообщение с картинкой, то модель машинного обучения, запущенная прямо на смартфоне, анализирует изображение и размывает его, если детектирует нюдсы. Пользователь должен кликнуть на изображение и подтвердить, что он действительно хочет увидеть «обнаженку», и тогда размытие пропадает. Аналогичная функция работает при отправке — если пользователь пытается отправить изображение с обнаженными телами, смартфон переспросит, действительно ли нужно отсылать изображение. Google подчеркивает, что информация о результатах проверки картинки никуда не отправляется.
      Приложение SafetyCore обеспечивает анализ изображений, но оно не предназначено для самостоятельного использования: другие аппы обращаются к SafetyCore при приеме и отправке картинок, а уж как использовать результаты анализа — зависит от них. Пока воспользоваться ИИ-анализом можно в Google Messages — здесь изображения, признанные «деликатными», будут размыты. В будущем Google обещает открыть функции SafetyCore другим разработчикам, и реагировать на «клубничку» смогут, например, WhatsApp с Telegram. Другие приложения при этом могут быть настроены так, чтобы блокировать «обнаженку» или сразу отправлять такие картинки в спам.
       
      View the full article
    • KL FC Bot
      Автор KL FC Bot
      Поучительный инцидент с атакой ransomware-группировки Akira наверняка на несколько лет станет любимым примером ИБ-специалистов. Злоумышленники зашифровали компьютеры организации, воспользовавшись ее видеокамерой. Хотя звучит это очень странно, в развитии событий есть логика, которую легко применить к другой организации и другим устройствам в ее инфраструктуре.
      Анатомия атаки
      Злоумышленники проникли в сеть, проэксплуатировав уязвимость в публично доступном приложении и получив возможность выполнять команды на зараженном хосте. Они воспользовались этим, чтобы запустить популярное приложение дистанционного доступа AnyDesk, а затем инициировали с этого компьютера RDP-сессию для доступа к файл-серверу организации. На сервере они попытались запустить свой шифровальщик, но EDR-система, установленная в компании, опознала вредоносное ПО и поместила его в карантин. Увы, это не остановило атакующих.
      Не имея возможности запустить свой шифровальщик на серверах и обычных компьютерах, которые находятся под защитой EDR, атакующие запустили сканирование внутренней сети и обнаружили в ней сетевую видеокамеру. В отчете команды по расследованию инцидента это устройство постоянно называют веб-камерой (webcam), но мы все же полагаем, что речь не о камере ноутбука или смартфона, а о независимом сетевом устройстве, применяемом для видеонаблюдения.
      Камера стала прекрасной мишенью для атакующих по нескольким причинам:
      устройство давно не обновлялось, его прошивка содержала уязвимости, позволяющие дистанционно скомпрометировать камеру и получить на ней права на запуск оболочки (remote shell); камера работает под управлением облегченной сборки Linux, на которой можно запускать обычные исполнимые файлы этой ОС, например Linux-шифровальщик, имеющийся в арсенале Akira; это специализированное устройство не имело (и, скорее всего, не могло иметь) ни агента EDR, ни других защитных средств, которые могли бы определить вредоносную активность. Злоумышленники смогли установить свое вредоносное ПО на эту камеру и зашифровать серверы организации прямо с нее.
       
      View the full article
    • KL FC Bot
      Автор KL FC Bot
      Наши защитные решения для Android временно недоступны в официальном магазине приложений Google Play. Для установки приложений «Лаборатории Касперского» на Android-устройства мы рекомендуем пользоваться альтернативными магазинами приложений. Также эти приложения можно установить вручную из APK-файлов, доступных на нашем сайте или в вашем аккаунте My Kaspersky. В этой статье мы дадим подробные инструкции, как установить Kaspersky на Android в 2025 году.
      Общие рекомендации
      Если на ваших устройствах уже установлены какие-то приложения Kaspersky из Google Play, то они продолжат работать, автоматически получая только обновления антивирусных баз, но не улучшения приложений и функций защиты. Удалив приложение, вы не сможете переустановить его из Google Play.
      Мы рекомендуем не удалять уже установленные из Google Play приложения, а установить поверх них версии из альтернативных магазинов:
      Samsung Galaxy Store  Huawei AppGallery Vivo V-Appstore RuStore Набор приложений Kaspersky во всех этих альтернативных магазинах одинаков, и способ загрузки также не отличается.
      Откройте приложение магазина. Нажмите на иконку лупы или введите в поисковой строке Kaspersky. Найдите в результатах поиска нужное приложение. Нажмите Получить, Установить, Скачать, Обновить (в зависимости от магазина) или же просто кликните на иконку загрузки рядом с названием требуемого приложения.  
      View the full article
×
×
  • Создать...